關鍵基礎設施真實威脅及應對之道

社會工程攻擊可以引發停電，網絡攻擊直接導致電力供應中斷的首個案例，當屬2015年圣誕夜前夕的烏克蘭大斷電事件。

2015年12月23日，當地時間下午3:35，伊萬諾-弗蘭科夫斯克州（烏克蘭西南部，與羅馬尼亞接壤，靠近匈牙利、斯洛伐克和波蘭），7個110千伏(kV)和23個35kV的變電站斷線3個小時。

這起事故影響到3家能源輸送公司，導致22.5萬客戶斷電。之后不久，烏克蘭國家安全局(SBU)指稱是俄羅斯干的。鑒于這種行動需要大量時間進行部署，烏克蘭的斷言也不無道理。

這是怎么發生的？

社會工程！所有的一切，都從假冒烏克蘭議會(Rada)郵件地址的魚叉式網絡釣魚攻擊開始的。任何雇員通常都不會拒收這樣的郵件，在某些社會結構中，無視來自議會的郵件甚至會帶來不幸。

于是，雇員打開郵件，點開附件，允許宏編譯；然后，惡魔放出，一切失控。

BlackEnergy惡意軟件的變種開始感染系統。該社會工程步驟是攻擊者在系統中建立橋頭堡的重要一步。而這正是接下來6個月里發生的事。

一旦該惡意軟件進入系統，授權用戶就開始失去對管理口令和特權的控制，引發更大的問題：比如任由攻擊者染指不間斷電源(UPS)、人機交互界面(HMI)等關鍵監督控制系統。

保險起見，系統中還安裝了KillDisk惡意軟件的變種，可能是作為隱藏惡意黑客蹤跡的一種手段。

最簡單的解決方案可能是最有效的

烏克蘭斷電事件對ICS/SCADA系統的意義何在？或許就是提醒我們：威脅近在眼前，有時候這就是個簡單的問題：我到底該不該點擊里面的鏈接或打開其中附件？

普遍的觀點是，如果有疑慮，別打開！貓有9條命可以做個好奇寶寶東摸西摸，你的計算機系統和設備可沒有！

如果你能挫敗最初的網絡釣魚、魚叉式網絡釣魚或假冒攻擊，攻擊成功的可能性就會大幅減小。

威瑞森《數據泄露調查報告》(DBIR)顯示，網絡釣魚和假冒，代表了涉社交活動數據泄露事件的絕大部分——近98%。而88%的假冒攻擊，是通過電子郵件進行的。

所以，有理由相信，保護電網的關鍵第一步，就是對員工進行社會工程攻擊防范和社交媒體使用的培訓。其他應該注意的地方還有幾點，但若缺了員工培訓，一切都是白搭。這就像是想僅憑超遠距離三分就贏下籃球賽一樣。

當然，撞大運來一波三分雨是有可能，但為什么要放棄得分更穩固更容易的三分線內呢？堅持錯誤的戰略，失敗只是時間問題。

贏下安全保衛戰

以下建議將給您帶來打贏安全保衛戰的機會：

1. 建立貼合實際且持續的員工培訓項目

利用10分鐘下午茶時間就搞定的“一次性”在線課程，對供應商來說當然再好不過。但對公司來說就不那么美妙了。識別可疑郵件是一項需要反復訓練的技能。應找尋可根據自家工廠或設施特別定制培訓項目的提供商，并要讓培訓成為長期持續的過程。有大把證據證明該策略可有效減小公司面臨的風險。

2. 見疑必報

看到可疑郵件，或感覺自己已經陷入社會工程攻擊，請立即通知IT部門。要具備感覺情況不對時跟蹤日志的能力，因為日志信息是威脅情報收集的重要一環。讓IT部門知曉情況不對，就可以調整過濾規則，輕松將威脅擋在門外。其他情況下，你的通報也可幫助IT部門封鎖潛在惡意IP地址，令其無法染指整個企業。

3. 共享即關照

罪犯會在垂直行業流竄，所以，即便與競爭對手合作，也能令整個行業更加安全。競爭歸競爭，威脅情報還是可以在《網絡安全信息共享法案》框架下共享的。

4. 拿起電話

如果不確定電子郵件是否合法，不妨花30秒時間給你的同事、朋友或親人打個電話，問問“你真的給我發了這個？”一個電話，可能為你省下數百萬美元，保住你的工作，或成功避免掉一次公關危機。

5. 經常對員工進行紅隊測試

有良好的學習經歷并作出相應調整，總比面對政府質詢時說：“我們知道這種威脅存在，只是真沒計劃過這個”，要好得多。

以上幾點的共通之處是什么？一切以人為本。社會工程就是以人為目標，從個人層面上俘獲你。仔細想想就能知道，復雜計算機攻擊和用心理壓力誘騙別人就范，哪個更容易？罪犯肯定會挑阻力最小的那條路走。

不難看出，這些建議都是投入小產出高且易于實施的。

其他建議：

1. 審查ICS/SCADA安全架構

聘用經驗豐富的專業ICS安全人員審查網絡架構、VPN配置、防火墻設置、路由器控制和所有其他你可能不理解但確實很重要的技術事項。其中就可能留有需修復的漏洞。

2. 加強網絡安全監測能力

誠然，有些攻擊確實復雜、謹慎、隱秘。你得有健壯的日志收集和網絡流量監測。做不好這些基本工作，你就得不到及時的檢測、預防性響應和準確的事件調查。隨時間進程，人工智能和機器學習可能會扮演越來越重要的角色，但你依然需要人類分析師來掌控全局。

3. 審查并更新事件響應、業務持續性和危機溝通計劃

公共事業部門經常遭遇服務中斷，很善于響應因天氣或設備故障導致的此類事件。這方面的實踐和經驗教訓已經很多了，但網絡威脅是個新生事物，需要我們將之當成正常業務過程投入更多關注。我們制定的計劃需要覆蓋一些噩夢般的場景，比如應對擦除器惡意軟件和勒索軟件的預案等。